自備金鑰 (BYOK) 解決安全挑戰

已發表: 2023-09-27

雖然雲端運算有很多優點,但安全性一直是一個缺點,因為資料仍然由雲端服務提供者 (CSP) 保留,並且不受該資訊所有者的直接控制。 這意味著加密金鑰安全對於選擇這種資料保護方法的組織來說至關重要。

定義 BYOK:什麼是「自帶密鑰」?

自帶金鑰 (BYOK) 本質上是一種管理系統,使企業能夠加密其數據,同時保留控制和管理。 然而,有些 BYOK 程式會將加密金鑰上傳到 CSP 伺服器。 在這些情況下,該公司再次失去了對密鑰的保管權。

應對這項「自帶金鑰」挑戰的最佳實踐解決方案是,組織透過高度安全的硬體安全模組(HSM) 產生更強大的金鑰,並管理將金鑰安全地匯出到雲端,從而改善其密鑰管理流程。

打開包裝自備金鑰 (BYOK):它是如何運作的?

自帶金鑰 (BYOK) 使企業能夠保留對自己資料的加密憑證的控制,無論他們使用哪個雲端供應商來儲存資料。 為此,必須採取以下步驟:

  • 雲端供應商使用雲端平台安全模組中的金鑰管理器產生自己的資料加密金鑰 (DEK)。
  • 該組織聘請第三方為這些 DEK 產生加密金鑰。 由第三方提供的用於加密 CSP 的 DEK 的金鑰稱為金鑰加密金鑰 (KEK)。
  • KEK「包裝」DEK,以確保只有維護 KEK 所有權和控制權的組織成員才能解鎖 DEK 並存取 CSP 中包含的資料。 有時,此過程被稱為“密鑰環繞”。
  • 當尋找可以生產 KEK 並提供金鑰包裝的第三方時,組織通常有兩種選擇:
    • 硬體安全模組 (HSM) :這些是昂貴的、高度安全的專用硬體組件,可能需要額外的工具和技術才能與雲端進行通訊。
    • 基於軟體的金鑰管理系統 (KMS) :這些應用程式位於標準伺服器上。 採用基於軟體的 KMS 的優點是適應性更強、管理更容易並且通常可以降低成本。
  • DEK 在加密和解密時可供使用者使用,但金鑰在使用後將從快取中刪除。 請記住,密鑰永遠不會長期儲存。 相反,DEK 或 EDEK 被加密並與加密資料保留。

簡而言之,BYOK 幫助公有雲服務使用者在自己的生態系統中產生加密金鑰,並在他們選擇的雲端伺服器上輕鬆存取這些金鑰來保持對這些金鑰的控制。

BYOK 如何解決安全挑戰?

安全經理和 IT 決策者有很多理由關心 BYOK,甚至在進行雲端投資時尋求它。

1. 遵守資料隱私法

2017 年和 2018 年,50 個國家頒布了新的隱私權法。 歐盟的《一般資料保護規範》(GDPR) 希望企業確保消費者的個人識別資訊 (PII) 的安全和保密。 當將 PII 轉發給外部供應商(例如 SaaS 提供者)時,這些組織也對其安全負責。 BYOK 提供資料存取的可見性以及撤銷資料的能力。

2. 透過擴展控制,輕鬆實現向雲端的文化過渡

當公司開始在雲端上儲存資料時,安全性是首要考慮的問題。 BYOK 允許企業收回對其機密資訊的控制權。 它將鎖和鑰匙系統分成兩半,使公司能夠使用自己的加密金鑰程式並保留獨立的權限。

這使組織能夠安心無憂(只有授權人員才能存取其敏感資料。當公司首次實施雲端時,這一點尤其重要。它還允許他們沒收來自個人或系統的加密金鑰,不應該有存取權限。

3. 更好地為異構雲環境做好準備

跨多個平台(例如資料中心、雲端或多雲)管理許多加密金鑰可能具有挑戰性且耗時。 組織可以使用 BYOK 加密模型從單一平台處理所有加密憑證。

它透過提供一個用於創建、輪換和保存加密密鑰的介面來集中管理密鑰。 如果組織的資料位於多個雲端(多雲)中,則可以將各個雲端的管理集中在一個管理員之下。

4. 增加另一層安全保障

這是擁有自己的密鑰的最明顯的優勢。 透過將加密資料與其關聯金鑰隔離,BYOK 為機密資訊建立了額外的安全層。 借助 BYOK,組織可以使用其加密金鑰管理工具來儲存加密金鑰並確保只有他們有權訪問,從而提高資料安全性。

5. 省錢,只要你有技術專長

BYOK 支援加密憑證的內部管理。 透過監督它們,組織可以停止為第三方供應商的關鍵管理服務付費。 然而,這排除了重複訂閱和授權費用的可能性。

此外,BYOK 加密旨在使惡意行為者無法理解數據,例如駭客和冒充雲端管理員的人。 這可以間接降低與揭露潛在敏感資訊相關的成本。 反過來,這可以避免嚴重的合規處罰和收入損失。

頂級 BYOK 範例:Zoom 和 Salesforce

BYOK 正迅速成為產業規範,而不是差異化因素。 除了所有主要的雲端供應商之外,SaaS 公司也紛紛加入這一行列。 事實上,大多數組織都喜歡攜帶自己的金鑰,即使他們選擇依賴 CSP 進行加密。

Zoom 推出了專為 AWS Key Management Service (AWS KMS) 客戶保留的客戶管理金鑰產品。

其目的是滿足銀行、金融和醫療保健行業的監管需求。 醫療保健提供者必須遵守 HIPAA 規範,金融服務必須遵守 NY DFS、Gramm-Leach-Bliley 法案和其他法規。

Salesforce 也提供 BYOK 功能,作為 Salesforce Shield 的一部分,Salesforce Shield 是一套原生整合的安全服務。 它使用戶能夠獨立於 Salesforce 產生自己的加密金鑰,這使得平台更加安全和保密。

組織可以使用 OpenSSL 等開源加密庫、目前的 HSM 基礎架構或 AWS KMS 等第三方解決方案。

結束語:BYOK 無懈可擊嗎?

雖然 BYOK 降低了資料遺失的風險,尤其是傳輸中的數據,但其安全性取決於公司保護其金鑰的能力。

加密金鑰的遺失可能最終導致資料永久遺失。 為了降低這種風險,請嘗試在金鑰產生和輪調後進行備份,停止在沒有觸發器的情況下刪除金鑰,並建立詳盡的金鑰生命週期管理。 此外,制定包含密鑰輪換規則、保存、撤銷步驟和存取策略的管理計劃將是有益的。

最後,與 BYOK 相關的成本也不容忽視——同時專注於管理和支援成本。 採用 BYOK 並不容易; 因此,組織可能必須投資額外的團隊和 HSM,從而產生更高的費用。

簡而言之,BYOK 不是靈丹妙藥,而是整體安全策略的必要組成部分。 檢查所有資料出口和入口路徑,例如 API 或檔案傳輸,以及各種特權存取標準。 這也適用於身份驗證和全行業最佳實踐,例如零信任。

接下來,閱讀有關端到端保護資料的白皮書,以建立您的安全策略。